マカフィーは8月10日、公式ブログで標的型攻撃の特集を掲載した。従来からあるセキュリティ対策では限界があり、新たな考え方や取り組みで臨む必要があるという内容だ。
標的型攻撃で露呈したこれまでの対策の限界
標的型攻撃を受け、機密情報や個人情報などが外部に流出してしまったインシデントは数多く報じられている。しかし、こうした攻撃を受けた企業も、全くセキュリティ対策を講じていなかったわけではなく、ウイルス対策ソフトやファイアウォールの導入といった対策をとっていたにも関わらず、被害を被っている。
つまり、従来からのセキュリティ対策では、標的型攻撃に対して以下のような限界があるのだという。
・シグネチャ検知の限界
標的型攻撃では、汎用的なマルウェアではなく、狙った組織に合わせて作り込んだマルウェア、新種のマルウェアが用いられるため、シグネチャに基づく検知には限界がある。攻撃者がアンチウイルス製品などを用意し、作成したマルウェアが対策をすり抜けられることをあらかじめ確認した上で送りつけてくることも珍しくない。こうした未知のマルウェアに対し、シグネチャ型の対策では効果が薄い。
・「人」という弱点の限界
どれほどの対策を施しても、「人」が弱点となり得る。攻撃された組織では、「なぜ担当者は添付ファイルを開いてしまったのか」という批判が起こりがちだが、普段の業務に追われる中、その組織や事業に合わせて作り込まれた攻撃メールを見抜き、開かずに済ませるのは困難だといえる。
もちろん、文面やファイル名などに明らかにおかしな点があれば気付けるように教育することも大事だが、それだけに頼るのは危険。技術と人の両面で防止策を取ることが大切だ。さらに、対策を講じてもなお「万一」は起こり得ると考え、いざというときに素早く状況を認識し対応できる体制、いわゆるインシデントレスポンス体制を整えることが重要となる。
・封じ込めまでの時間の限界
何らかの通報によって、ネットワーク内部のある端末が感染したことが特定できても、「他の端末も感染しているのか」「どこまで情報を盗み見られた恐れがあるのか」といった事柄を調査するのには専門知識が必要で、時間もかかる。
時間がかかればかかるほど、二次被害が広がり、封じ込めが困難になってしまう。その意味からも、素早く対応する体制として、インシデントレスポンスの基盤整備が求められる。
「検出」から「封じ込め」へ
こうした限界から、これまでのように脅威の「検出」に主な力点を置くだけでは不十分であり、感染後の「後工程」に目も配ることが求められるとした。事態をいち早く把握し、影響範囲を特定して封じ込めるという一連の作業を支援し、対応できる体制を整えることが必要であるという。
